職業としてのセキュリティ–セキュリティを「もうかる仕事」に変えた経産省のファインプレー

今回は「職業としてのセキュリティ–セキュリティを「もうかる仕事」に変えた経産省のファインプレー」についてご紹介します。

関連ワード (セキュリティ、企業セキュリティの歩き方等) についても参考にしながら、ぜひ本記事について議論していってくださいね。

本記事は、ZDNet Japan様で掲載されている内容を参考にしておりますので、より詳しく内容を知りたい方は、ページ下の元記事リンクより参照ください。

 本連載「企業セキュリティの歩き方」では、セキュリティ業界を取り巻く現状や課題、問題点をひもときながら、サイバーセキュリティを向上させていくための視点やヒントを提示する。

 前回まで、高度化・巧妙化するサイバー攻撃の脅威に対して防御側は、その検知ができなくなり、それを覆すために高度な検知機能を持つさまざまなセキュリティ製品を導入したこと。また、それらを使いこなせるリソースがユーザー企業にもベンダーにも乏しく、セキュリティを向上できなかった経緯を述べてきた。

 その結果、せっかくコストをかけて導入したセキュリティ製品を十分に活用できない状況が10年以上も続いた。しかし、2023年現在では、このような状況が皆無とは言わないまでも、かなり改善された。今回は、状況の変化をもたらした政府の「サイバーセキュリティ経営ガイドライン」の公開やその後の状況について述べていく。

 「IT人材やセキュリティ人材が足りない」というアナウンスがしばしなされる。その中でも筆者の記憶に新しいのは、2016年に経済産業省(経産省)が明らかにした「セキュリティ人材が2020年に20万人(資料によると正確には19万3000人)不足する」(資料PDF)というものだ。

 2016年時点で、既に2020年の東京五輪開催が決まっていた。そしてこのアナウンスは、リオデジャネイロ五輪が閉幕した時期と重なる。もちろん、東京五輪はコロナ禍で2021年に延期されたが、ここではあまり関係がない。ポイントは、五輪開催時にどうしても多くなるサイバー攻撃について、その時点で政府が日本のセキュリティ人材や技術者の数では対応できないと発表したということだ。

 五輪のような巨大なイベントは世界中から注目が集まる。そして、そういう時には攻撃者のメリットも高まることが多い。もし、サイバー攻撃で五輪の開催に問題が発生すれば、日本政府の面目にかかわり、場合によっては、人命を含む多くの被害も出る。そのため、絶対に失敗できない政府は、リオデジャネイロ五輪が終わったタイミングで、既に人材が足りない状況であり、かつ「猶予があと4年しかない」と問題提起したのだろう。

 幸いなことに、結果的にセキュリティ担当者や関係各所の皆さんの尽力もあって、東京五輪ではサイバー攻撃に起因する大きな問題や不具合がほとんど発生しなかった。もちろん、見えない部分ではいろいろな問題が起きただろう。しかし、それが大きな問題とならなかったのだから、きちんと対応された成果なのだとも思う。

 しかし、その事実とは別に、この「セキュリティ人材が足りない」という事前の問題提起に対する、当のセキュリティ業界での反応は少々意外なものだった。それは、「育成したセキュリティ人材のキャリアパスをどうするか。それを議論すべきだ」というものだ。

 この話を聞いて、納得感が得られたという人は少ないだろう。なぜなら、人材不足なら仕事がたくさんあるはずで、その分野の技術者を増やせば問題解決になると考えるのが自然だからだ。特にセキュリティ人材がITの各分野の中でも、特に高度な人材としてもてはやされる現状からすると、そのような人材のキャリアパスが論点となることに違和感しかない。

 しかし、実は筆者も当時同じ危機感を持っていた。現実問題として、IT業界の中でもセキュリティ人材は長年にわたって不遇の時代が続いていたからだ。なぜなら、企業経営者などからは「セキュリティなんぞに幾らお金をかけてももうからない。無用なものだ」とされ、育成や活用も進まなかったからだ。

 しかも、これは暴論などではなく、企業経営者にとっては非常に全うな意見であり、正論でもある。もしサイバー攻撃が、ごく一部の運の悪い人だけに起こる現象であったなら、それは正しい。その仮定が正しければ、ほとんどの場合、対策にお金をかけるのは無駄なのだ。

 そのため、当時はよほどの大企業かウェブサービス事業者などでなければ、社内に大勢のセキュリティ技術者を雇用するような状況がほとんど見られなかった。また、セキュリティベンダーであっても、その状況が大きくは違わなかった。企業側に買う意思がなければビジネスにならないからだ。セキュリティ業界は、標的型攻撃に代表されるインシデントの発生などで徐々に拡大してきたものの、あくまで特殊枠のような扱いだった。

 つまりセキュリティ業界は、2010年代半ばまで、大きなITの中の1つの特殊な分野にとどまっていたのだ。だから政府が「2020年に20万人のセキュリティ人材が不足する」と言っても、セキュリティ業界では、育成された人材によって業界が一気に拡大するという楽観的な予想をしていた人がほとんどいなかった。

元記事: https://japan.zdnet.com/article/35203610/
IT関連 #セキュリティ #企業セキュリティの歩き方

COMMENTS

この記事について議論する

Recommended

TITLE
CATEGORY
DATE
「契約の解約期限に気づかず自動更新」は約4割–6割以上が支払いを続ける結果に
IT関連
2022-01-26 05:33
Windows 11チェックプログラムに「アップデートできない理由」が分かる新機能
企業・業界動向
2021-06-29 20:03
日立とギブリーが明かす、「Azure OpenAI」や「Microsoft Copilot」導入の成果
IT関連
2024-10-18 18:55
DXに対してIT部門が示すべき方針–最悪のシナリオを回避するためには
IT関連
2022-01-20 06:36
アップル、「macOS Server」終了–20年超の歴史に幕
IT関連
2022-04-26 13:53
中国当局、配車サービス最大手を審査 習政権のIT統制強化進む
IT関連
2021-07-06 07:59
マイクロソフト、5月の月例パッチで脆弱性74件を修正–緊急レベルは7件
IT関連
2022-05-13 03:08
Rust製の高速なwebpack互換バンドラ「Rspack」登場。現時点で5倍から10倍の性能向上
HTML/CSS
2023-03-15 21:57
Zoom、ビデオ会議中にコンテンツを共同編集できる「Notes」を発表
IT関連
2023-09-05 00:26
AIモデルの「ロングコンテキストウィンドウ」とは?
IT関連
2024-05-17 20:23
Appleの探し物トラッカー「AirTag」は税込3800円で4月30日発売、不要な位置情報追跡も防止
ハードウェア
2021-04-22 20:11
格安スマホ、低容量で対抗プラン続々も、忍び寄る大手の触手
IT関連
2021-02-03 15:15
メルカリ、高額出品のアラート機能を実装へ マスク、PS5など“悪質出品”に対抗 個人間取引の原則を策定
アプリ・Web
2021-01-28 09:50
MetaのAIフレームワーク「PyTorch」、Linux Foundationの統括下に移行
IT関連
2022-09-15 22:57